Cisco
Настройка раздачи интернет Настройка Cisco-871 с получением динамического IP-адреса от провайдера и раздачей интернета в локальную сеть на статические IP-адреса. * Подключаем Cisco синим шнуром к COM-порту компьютера, в Cisco этот шнур вставляется в разъём Console. * Запускаем на компьютере программу: Пуск -> Программы -> Стандартные -> Служебные -> Связь-> HyperTerminal (если её нет, то скачиваем из интернета) * При запуске программа предложит дать название новому соединению, назовём его Cisco. * Далее необходимо указать параметры соединения. Указываем: Порт: COM1, скорость: 9600, биты: 8, чётность: нет, стоповые: 1, управление потоком: нет. * Сохраняем настройки и в дальнейшем можно будет не вводить каждый раз все эти настройки после запуска HyperTerminal, а выбирать готовые настройки из сохранённого файла *.ht. * Далее включаем Cisco. * Если необходимо стереть предыдущую конфигурацию Cisco, то включаем её со вставленной сзади спичкой в отверстие для сброса настроек и держим спичку. Спичку держать до тех пор, пока на гипертерминале не пройдут такие строки: Erasing the nvram filesystem will remove all files! Continue? OK Erase of nvram: complete Router IOS Configuration Recovery is unsuccessful * После загрузки циски на вопрос: Would you like to enter the initial configuration dialog? yes/no: Нужно ответь n и нажать энтэр. * Ждём когда маршрутизатор загрузится. * Если в окне HyperTerminal появился курсор, то можно вводить команды, если нет – нажать Enter. * Если необходимо ввести логин и пароль, то вводим стандартные: cisco/cisco. * Входим в расширенные настройки: enable (в Cisco работает автозавершение команд. Можно не набирать команду целиком, набрать только первые несколько букв, например en и нажать клавишу TAB на клавиатуре, после этого команда enable) * После срабатывания команды enable слева от курсора появится символ решётки. * conf t (входим в режим конфигурирования) (у команд есть сокращённый вариант, например вместо configure terminal можно набирать conf t) * После входа в режим конфигурирования появится предупреждение (вводить по одной команде в строке) и слева от курсора появится слово (conf). Далее можно вводить по одной команде для настройки Cisco, а можно загрузить готовый конфиг, который будет приложен в конце статьи. В готовый конфиг нужно внести свои данные (адрес своей сети, Cisco, шлюз провайдера). Вставлять строки и весь конфиг можно через буфер обмена: Edit -> Paste to Host (комбинация клавиш Ctrl + V у меня не катит). * Настраиваем IP-адрес Cisco со стороны локальной сети. * Входим в настройки виртуального порта VLAN1, к которому обычно относятся реальные порты FE0-FE3: * interface Vlan1 (или сокращённо int Vlan1) Слева от курсора появится текст (config-if). * Вводим IP-адрес: ip address 192.168.220.10 255.255.255.0 (здесь 192.168.220.10 – IP-адрес Cisco внутри вашей локальной сети, 255.255.255.0 маска сети). Обычно IP-адрес Cisco назначают самым маленьким, последняя цифра 1 или 10, но если в маске последняя цифра не ноль, то следите, чтобы последняя цифра адреса Cisco соответствовала маске). * ip nat inside (включаем на этом же порту NAT: траснляцию адресов внутренней сети во внешнюю) * ip virtual-reassembly (команда «собирать фрагментированные пакеты») * exit (выходим из настроек порта Vlan1) * Направляем все адреса по любой маске на шлюз провайдера: * ip route 0.0.0.0 0.0.0.0 10.124.62.1 (справа шлюз провайдера, в середине маска, её не менять) * Создаём список для NAT, какие IP-адреса должны транслироваться в интернет: access-list 1 permit 192.168.220.0 0.0.0.255 (здесь 192.168.220.0 – ваша локальная сеть, 255.255.255.0 маска сети, изменив маску, можно указать другой промежуток адресов, которым будет доступна Cisco). * Входим в настройки порта FastEthernet4, к которому подключен интернет-кабель от провайдера: * interface FastEthernet4 (или сокращённо int Fa4) * no shutdown (включаем порт) * ip address dhcp (IP-адрес интернет динамический, будет получен автоматически от провайдера через DHCP) * ip nat outside (подключаем NAT к наружному порту) * exit (выходим из настроек порта FastEthernet4) * exit (выходим из режима конфигурирования) * ip nat inside source list 1 int fa4 overload (подключаем NAT к списку – разрешённых IP-адресов) * wr mem (записываем все настройки в память) * Настраиваем логин и пароль: * conf t * hostname MyCisco * aaa new-model * aaa authentication login default local * username ваш_логин privilege 15 secret ваш_пароль * ip domain name mycisco.local * crypto key generate rsa modulus 1024 * Настраиваем SSH, доступ через локальную сеть: * ip ssh version 2 * line vty 0 4 * transport input telnet ssh * privilege level 15 Это позволит в следующий раз заходить в настройки Cisco не через com-порт, а через локальную сеть, для этого нужно набрать в командной строке: telnet 192.168.220.10 (адрес вашей Cisco). * Настраиваем блокировки социальных сетей: ip inspect name Protect http urlfilter alert on ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .vk.com ip urlfilter exclusive-domain deny .vk.me ip urlfilter exclusive-domain deny .ok.ru ip urlfilter exclusive-domain deny .odnoklassniki.ru ip urlfilter exclusive-domain deny .217.20.156.131 ip urlfilter exclusive-domain deny .facebook.com ip urlfilter exclusive-domain deny .yotube.com ip urlfilter exclusive-domain deny .twitter.com ip urlfilter exclusive-domain deny .fotostrana.ru ip urlfilter exclusive-domain deny .my.mail.ru ip urlfilter exclusive-domain deny .love.mail.ru ip urlfilter exclusive-domain deny .mirtesen.ru ip urlfilter exclusive-domain deny .exe ip urlfilter exclusive-domain deny .msi ip urlfilter audit-trail int Vlan1 (входим в настройки внутреннего интерфейса) ip inspect Protect in (и вешаем на него наш фильтр) exit (выходим из настроек интерфейса) exit (выходим из режима конфигурирования) wr mem (записываем все все настройки в память) Есть другие способы блокирования сайтов. Но блокировка с помощью списков-листов сильно тормозит те страницы, на которых есть ссылки на заблокированные ресурсы. А блокировка с помощью классов не блокирует протокол http. * Отключаем вывод на экране протоколов, которые мешают набирать команды: * conf tno logg con * Можно настроить дату и время: * сlock set hh:mm:ss Oct 26 2016 * clock timezone MSK 3 * Включим сверку времени (указываем IP-адреса для серверов 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org): * ntp server 85.21.78.8 * ntp server 46.254.216.9 * ntp server 91.207.136.50 * Можно превратить Cisco в сервер времени: * ntp master * exit * wr mem Вот готовый полный конфиг (строки переставлены для оптимизации): conf t no logg con ip nat inside source list 1 int fa4 overload interface FastEthernet4 no shutdown ip address dhcp ip nat outside ip virtual-reassembly ip route 0.0.0.0 0.0.0.0 10.124.62.1 access-list 1 permit 192.168.220.0 0.0.0.255 ip inspect name Protect http urlfilter alert on ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .vk.com ip urlfilter exclusive-domain deny .vk.me ip urlfilter exclusive-domain deny .ok.ru ip urlfilter exclusive-domain deny .odnoklassniki.ru ip urlfilter exclusive-domain deny .217.20.156.131 ip urlfilter exclusive-domain deny .facebook.com ip urlfilter exclusive-domain deny .yotube.com ip urlfilter exclusive-domain deny .twitter.com ip urlfilter exclusive-domain deny .fotostrana.ru ip urlfilter exclusive-domain deny .my.mail.ru ip urlfilter exclusive-domain deny .love.mail.ru ip urlfilter exclusive-domain deny .mirtesen.ru ip urlfilter exclusive-domain deny .exe ip urlfilter exclusive-domain deny .msi ip urlfilter audit-trail interface Vlan1 ip address 192.168.220.10 255.255.255.0 ip nat inside ip virtual-reassembly ip inspect Protect in interface Vlan2 ip address 192.168.221.10 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet3 switchport mode access switchport access vlan 2 access-list 1 permit 192.168.221.0 0.0.0.255 hostname MyCisco aaa new-model aaa authentication login default local username ваш_логин privilege 15 secret ваш_пароль ip domain name mycisco.local crypto key generate rsa modulus 1024 ip ssh version 2 line vty 0 4 transport input telnet ssh privilege level 15 clock timezone MSK 3 ntp server 85.21.78.8 ntp server 46.254.216.9 ntp server 91.207.136.50 ntp master exit wr mem Порт Vlan2 с гнездом FE3 выделен отдельно, на нём нет фильтров, на всякий случай. Категория:Сети